當前位置:首頁 > 新聞資訊 > 行業論壇> 正文

                電子招標投標系統安全風險分析及應對措施

                瀏覽量:3902  發布時間:2018/3/30 17:04:00

                編者按:電子招標投標系統作為電子政務的重要組成部分,需要確保電子招標投標過程的安全性,而系統內的招標投標主體的數據信息和招標投標過程中產生的重要數據信息容易成為互聯網的非法攻擊目標,文章提出,應從信息技術和管理制度兩個方向入手,建立一個完整的安全防御體系。通過必要的安全架構、技術和安全管理制度,做到事前防范和事后的風險控制。

                 

                    隨著《網絡安全法》的正式頒布和實施,網絡安全問題已經上升到國家層面。電子招標投標系統作為電子政務的重要組成部分,需要確保電子招標投標過程的安全性,而系統內的招標投標主體的數據信息和招標投標過程中產生的重要數據信息容易成為互聯網的非法攻擊目標,如何將安全防護工作落到實處,在當前形勢下尤為迫切。

                    中國招標公共服務平臺已經與200多家電子招標投標交易平臺實施了數據對接,在與交易平臺溝通業務的過程中,很多交易平臺表達了在安全建設過程中的困惑,部分交易平臺的安全防護建設現狀令人擔憂。為此,平臺公司組織了安全專家就電子招標投標平臺的安全問題進行了專項研究,本文將結合電子招標投標全流程和大家分享這方面的經驗。

                    電子招標投標全流程的主要節點分為招標、投標、開標、評標、定標五個主要階段,其中招標公告信息中招標內容和資格條件的確認、確保投標單位信息的保密、評標專家的抽取和名單的保密、投標文件內容的防竊取與防篡改、開標環節的防解密失敗、評標過程中的防泄密和評標結果防篡改是電子招標投標工作中的重點安全問題,總結五大環節中需要解決的風險點,主要可以歸為六類問題,即:電子招標投標用戶的身份確認問題、投標報名階段投標人的名單泄露風險、專家抽取環節專家名單的泄露風險、投標文件的防竊取和防篡改問題、開標環節的防解密失敗風險以及評委評標過程的防泄密和評標結果的防篡改問題。

                    針對以上需要解決的風險和問題,我們需要從信息技術和管理制度兩個方向入手,建立一個完整的安全防御體系。通過必要的安全架構、技術和安全管理制度,做到事前防范和事后的風險控制。

                一、信息技術安全

                (一)信息操作者(主體)的身份合法性

                1.身份標識與鑒別

                    在《電子招標投標系統技術規范》中要求應對招標人、招標代理機構、投標人、評標專家等登錄用戶進行身份標識與鑒別,并提供身份標識唯一性檢查功能。應采用以下措施,確保用戶身份不易被冒用:

                (1)提供鑒別信息復雜度檢查功能。比如系統登錄用戶的密碼復雜度檢測,要有密碼強度提示。

                (2)對身份標識與鑒別異常提供保護措施。比如在系統登錄失敗多次后,應自動鎖定賬戶,再通過其他認證手段進行解鎖。

                (3)使用CA數字證書對交易主體的身份進行標識與鑒別。需要進行身份標識與鑒別的電子招標投標交易行為包括:遞交資格預審申請文件、遞交投標文件、遞交投標保證金、撤回投標文件、確認開標記錄、遞交回執、發出中標通知書、簽訂合同(協議書)等需要招標投標主體承擔相應法律責任的電子招標投標行為。

                (4)采用兩種或兩種以上上述措施進行組合鑒別技術。

                2.電子簽名

                    通過電子簽名來確保電子招標投標文件的完整性和不可抵賴性。電子簽名使用的數字證書應采用合法的CA機構頒發的證書,提供按照國家授時中心的標準時間源對需要電子簽名的文件生成時間戳的功能。

                    應使用電子簽名的文件包括:招標公告(資格預審公告)、投標邀請書、資格預審文件(澄清和修改)、資格預審申請文件(澄清和修改)、資格審查報告、招標文件(澄清和修改)、投標文件(補充、修改、撤回、澄清)、開標記錄、評標報告、中標通知書、合同(協議書)及相關文件的簽收回執等具有法律約束力的文件。

                (二)信息傳輸過程的安全性

                    對于招標投標的信息傳輸,一是使用SSL協議進行通道加密傳輸,同時使用公開密鑰體質和數字證書技術保護信息傳輸的機密性;二是對于投標單位名單、評委名單、評標結果等敏感數據采用自定義的加密技術。《電子招標投標系統技術規范》中對于數據接口的安全要求有具體規定,在傳輸的接入點實施網絡邊界安全控制, 接口的安全控制應包括:安全評估、訪問控制、入侵檢測、口令認證、安全審計、防惡意代碼、加密等內容。

                    數據接口訪問應進行雙方身份安全認證,確保接口訪問的安全性。比如在和國家公共服務平臺數據接口進行傳輸時,首先采用雙方白名單互認機制,指定IP才能訪問和調用接口,傳輸前先進行身份驗證確認,再進行數據傳輸,從交易平臺到國家公共平臺的傳輸通道采用SSL協議加密。

                (三)信息存儲環節的安全性

                    采用加密或其他保護措施確保重要數據存儲的保密性。對于投標人的名單、評標專家名單、評標結果等數據,要進行加密存儲,避免能夠接觸到后臺數據庫的運維人員在數據庫上直接拷貝或修改數據。

                    由于服務器系統是24小時不間斷運行,單個部件發生故障的概率很高,特別是存儲系統中的磁盤,存儲冗余一般至少構建RAID5系統,也可以考慮將服務器資源及存儲資源進行云托管,進一步保障服務的穩定性。現在很多地方的公共資源交易平臺就是依托第三方提供的政務云建設的。

                (四)數據的備份

                   根據制定的備份策略,定期備份數據庫和系統重要的數據文件,以便在故障或災難的情況下恢復信息。

                   要選擇合適的備份地點和備份方法,有條件的應當同時進行異地備份。在備份方法上,全數據備份是對所有選擇備份的數據進行備份。全數據備份比其他備份方式需要更多的時間和數據存儲容量,但它是數據恢復最簡單和最容易的方法。增量備份是對上次備份后所有發生變化的數據進行備份。增量備份比其他方法需要更少的時間和數據存儲容量,但它的數據恢復方式最復雜。差異備份對上一次全數據備份發生變化的數據進行備份。它比全數據備份需要更少的時間和數據存儲容量,比增量備份對數據的恢復更簡單和更容易。一般根據自身系統數據量的大小和存儲設備的難易制定策略,不同備份策略都要兼顧到。

                (五)日志記錄體系的全面性

                    在業務流程中要記錄電子招標投標全過程關于事項辦理、審批流轉、數據修改所產生的記錄以及記錄的時間點,都需要完整地保存在系統里。

                    對于系統版本發布更新、系統文件的替換修改、數據庫文件的還原恢復等針對系統的操作,要經過技術管理流程的審批和記錄。對于系統后臺的所有管理行為記錄,也需要完整地記錄在日志里,以備日后的監督和審計。實際操作中,后臺的操作日志記錄往往是被很多系統所忽略的。對于生產系統的運維管理操作,可以使用堡壘機進行操作審計和記錄;對于數據庫的管理,可以通過數據庫審計系統,監視和分析對數據庫服務器的各類操作行為,并記入審計數據庫中集中進行管理。

                (六)安全審計管理

                  安全審計管理應滿足以下要求:

                (1)應提供安全審計功能。安全審計范圍應覆蓋系統中的每個用戶及系統中的所有重要安全事件,如登錄事件、關鍵數據變更等。

                (2)審計記錄的內容應包括事件的日期、時間、發起者信息、類型、描述和結果等。

                (3)應提供審計記錄數據的查詢、統計、分析功能。

                (4)安全審計人員不能同時兼任系統管理員。

                (5)安全審計系統設備宜獨立部署,以確保數據不被篡改。

                (七)硬件系統及網絡的可靠性

                    不能在互聯網上直接開放運維管理后臺和主機的登錄入口,可以采用VPN通道的方式強化網絡安全,同時采用抗DDoS攻擊系統、網頁防篡改保護系統、WAF防火墻、IPS入侵防護系統、數據泄露防護系統等為系統提供安全檢測防護。采用防病毒網關或殺毒軟件防病毒,并定期查殺病毒。定期對操作系統進行漏洞掃描,及時安裝系統補丁,防范安全漏洞。

                    由于安全防護的投入成本較高,中小型交易平臺在實施時由于成本壓力造成實施困難,可以采用諸如UTM、下一代防火墻之類的集成多功能的一體化產品來降低實施成本。

                    對于生產環境,要按照等級保護的要求劃分安全區域,需要對外提供服務的web服務、應用程序、接口等部署在外網區,系統的數據庫和其他重要的數據文件存儲應在內網區域,互聯網不能直接訪問,區域之間要用防火墻作邊界隔離。

                (八)系統安全風險測評

                    要對系統的源代碼做安全審查。由于開發人員的水平和經驗問題,源代碼當中通常會存在一些安全漏洞和安全風險,在互聯網上容易被攻擊者利用,源代碼審查要從源頭上發現這些漏洞并進行安全整改。

                    系統的安全檢測,包括系統漏洞掃描、用戶身份鑒別、抗抵賴、訪問控制、數據的完整性、保密性檢查,數據備份與恢復檢查等檢測內容。

                    還可以做本地、遠程、網絡三個不同層級的滲透測試,模擬演練發生攻擊的情況,通過滲透測試對網站進行深度檢測,發現和挖掘系統中存在的漏洞。

                二、管理流程和制度

                《公共資源交易管理辦法》中沒有對信息安全做相關的規定,但是在《電子招標投標辦法》第十二條和第十三條中做出了相關規定。

                (一)評標專家抽取的保密性控制

                專家抽取環節最擔心的問題是名單泄露,在統一的評標專家隨機抽取系統建設中,主要有以下幾個措施:

                (1)通知階段引用電話語音通知,隨機雙盲,“電腦隨機抽取—語音自動通知—短信發送確認”的流程。

                (2)抽取過程應采用“語音+錄像監控”的方法抽取評標專家時,應有招標人代表、監督部門監督人員同時在場。

                (3)目前有很多種專家抽取結果通知的方式,但普遍采用的是密封打印。開標結束后打印,在到達評標時間后,由監督人員查驗密封情況后拆封。還有一些專家庫的做法是到達評標時間后,傳真專家名單到評標現場。

                    比較先進的做法是評標區安裝監控和門禁系統,專家簽到系統在評標前共享評標專家抽取信息和專家的指紋信息,專家驗證指紋進場,并自動提示專家進入哪間評標室評什么標。監督人員可以在另外的房間通過視頻監控系統全程監督,并保留評標過程的影音資料。

                4.候選專家資源人數要在抽取系統中有一個比例限制,要確保候選專家資源充足。

                (二)投標文件的加密和解密

                    投標人制作投標文件后采用CA加密,開標時用CA解密,杜絕過程中的信息泄露。交易平臺普遍采用兩種解密模式:交易中心集中解密和投標人分別參與解密。

                    采用集中解密的方式,存在安全風險。文件上傳到交易平臺后,可能會發生系統管理員非法提前解密,需要通過管理制度加強技術安全管理,以保證投標文件不被提前解密,控制風險。

                    投標人參與解密模式,由于投標人網絡、電腦等環境因素,存在解密失敗風險,且責任不易認定。國家公共服務平臺提供開標保障服務,在投標文件解密失敗后,投標人使用國家公共服務平臺提供的開標保障服務,可以及時補救,完成解密操作。

                (三)信息訪問權限的嚴格控制

                1.嚴格分離系統開發權和系統管理權

                    等級保護制度對于軟件的部署環境劃分為測試環境、預生產環境和生產環境。軟件開發人員負責軟件程序的開發和后期修改,他們只能夠訪問測試環境,不能擁有生產環境的訪問權限。要制定版本發布流程,對于系統的版本發布和更新要經過功能、性能和安全性的測試,測試通過后由運維人員在預生產環境發布,預生產環境試運行通過后,再發布到正式環境,嚴格禁止開發人員接觸到生產環境。

                2.采用最小化原則,設定系統使用各方的權限

                    按角色劃分系統權限,招標方、投標方的操作人員,平臺運營人員和系統維護人員等各司其職,每個角色只能在自己的權限范圍內查看自己分內的信息,各角色之間又能相互監控,避免權限過于集中導致的安全風險。

                (四)制定安全管理制度

                    可以根據《網絡安全法》和《信息安全技術信息系統安全等級保護基本要求》GB/T22239-2008中的管理要求部分以及《電子招標投標系統技術規范》的第8.2章節,結合本單位的實際現狀,從機構、人員、系統建設和運維管理等方面制定相應的安全管理制度。

                1.人員方面要求

                (1)設計安全主管、安全管理各個方面的負責人,并定義各負責人職責。

                (2)設計系統管理員、網絡管理員、安全管理員等崗位,并定義各個工作崗位的職責。安全管理員不能兼任網絡管理員、系統管理員、數據庫管理員等。

                (3)針對關鍵活動建立審批流程,并由批準人簽字確認。

                (4)安全管理員應定期進行安全檢查,檢查內容包括:系統日常運行、系統漏洞和數據備份等情況。另外,還需要檢查安全防護設備的運行情況,定期查看監控日志。

                (5)確保在外部人員訪問受控區域前得到授權或審批,批準后由專人全程陪同或監督,并登記備案。

                2.系統建設方面的要求

                (1)在軟件安裝之前檢測軟件包中可能存在的惡意代碼。

                (2)要求開發單位提供軟件源代碼,并審查軟件中可能存在的后門。

                (3)規劃總體安全防護體系,制定安全保護方案,并按照方案實施設備采購,部署安全設備。

                (4)與選定的安全服務商簽訂與安全相關的協議,明確約定相關責任。

                3.運維管理方面的要求

                (1)應指定人員對網絡進行管理,負責運行日志、網絡監控記錄的日常維護、報警信息分析和處理工作,嚴格遵守網絡區域的邊界控制,未經過審批嚴禁跨區訪問,關閉所有不用的公網服務端口。

                (2)對服務器主機要做安全加固,例如禁ping,修改系統賬號密碼策略,刪除或禁用不必要的用戶和用戶組,停用無關的服務等。

                (3)根據業務需求和系統安全分析確定系統的訪問控制策略,并根據系統的情況及時優化和調整策略。

                (4)定期對運行日志和審計數據進行分析,以便及時發現異常行為。

                (5)應確認系統中要發生的重要變更,并制定相應的變更方案。系統發生重要變更前,向主管領導申請,審批后方可實施變更,并在實施后向相關人員通告。

                (6)制定安全事件報告和處置管理制度,明確安全事件類型,規定安全事件的現場處理、事件報告和后期恢復的管理職責。

                (7)在統一的應急預案框架下制定不同事件的應急預案。應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容。應對系統相關的人員進行應急預案培訓,應急預案的培訓應至少每年舉辦一次。

                (五)市場化交易平臺與公共服務平臺及監督平臺分離運營

                    避免“所有的雞蛋都放在一個籃子里”產生的系統性風險,《電子招標投標辦法》中設計的三平臺分離運營的思想,也是安全性考慮的一個重要設計。目前有些開發單位不僅將電子招標投標三大平臺放在一起,有意無意地將工程建設、政府采購、產權、土地等各類公共資源都放在一個平臺里,甚至將全省所有的地方也都放在一個平臺里,并冠以“全省一張網”,這種設計造成的結果是,如果這個省的“這張網”的平臺安全出現問題,那么也就意味整個省就全部出現問題。

                    國家制度設計里,無論是電子招標投標系統,還是公共資源交易平臺的電子化,一直都特別強調交易平臺和公共服務平臺一定要物理分離,公共服務平臺(公共資源交易平臺也稱“電子服務系統”)可以全省建設一個,但交易平臺則應是市場化、專業化、集約化的。監督平臺更應當與交易平臺分離,避免監督平臺嵌入交易平臺中,防止監督功能被交易平臺綁架。

                三大平臺之間如何界定各自功能和定位?《電子招標投標辦法》以及最近的《“互聯網+招標采購”行動方案(2017-2019年)》,都對這個問題有明確的規定,公共資源交易采取了同樣的架構:

                (1)交易平臺負責完成招標投標交易活動,不能承擔監督功能,要與公共服務平臺分離。

                (2)公共服務平臺提供交易平臺之間,以及交易平臺與監督平臺之間信息交換、資源共享服務,并為市場主體、行政監督部門和社會公眾提供信息服務,不得具有交易功能,可以為監督部門提供監督窗口和監督工具。交易平臺樞紐,公共信息載體,身份互認橋梁,行政監管依托,國家電子招標投標公共服務平臺有義務為地方公共服務平臺建設提供技術和信息資源支持。

                (3)行政監督平臺負責完成行政監督部門和監察機關在線監督電子招標投標活動,不能承擔交易功能。

                (六)交易系統與專用的工具軟件分離開發運營

                《電子招標投標管理辦法》和《交易平臺技術規范》中,對交易平臺與專業工具軟件之間的關系問題,做了接口的技術性要求,即:

                    交易系統不得限制或者排斥符合技術規范規定的工具軟件與其對接。如各投標人編制投標文件時可以使用自己已經購買的符合標準的工程計價系統的工具軟件,只要符合交易平臺公布的數據接口標準,即可與交易平臺實現數據對接交換。

                    而隨著電子招標投標工作的不斷推進和深化,解決交易平臺與專業工具軟件之間的開發和運營問題也越來越迫切,一些推行電子招標投標比較早的地方,如北京市建設工程承包發包中心就規定,交易平臺和專業的工具軟件分別由不同的開發商開發。

                    之所以這樣要求就是因為交易平臺和專業工具軟件,如果都是由同一家軟件供應商開發,就容易導致交易平臺對軟件開發商的全流程依賴,難以防范開發商的開發人員利用交易平臺全程控制的技術地位,篡改后臺數據和文件調包等非法行為。

                    此外,由于交易平臺和工具軟件是同一開發商開發,那么平臺與工具軟件對接這個關系環節缺少中立的第三方監督,那么該開發商就可以利用這一技術地位,抹掉修改或調包的操作痕跡,造成沒有后門的假象等問題。

                將交易系統和工具軟件的開發和運營分離,不僅形成工具軟件的充分市場競爭,更有利于交易平臺和工具軟件的安全管控,從而促進電子招標投標的健康可持續運營。

                (七)交易平臺須通過檢測認證

                    由于交易平臺專業性強、技術復雜,僅通過使用者的功能性檢測,難以對數據接口、后臺技術規范性、中間件等隱蔽性工程進行測試了解。因此,通過第三方專業機構的檢測認證,可以有效地將交易平臺中存在的功能、性能、安全等缺陷、漏洞和后門等提早發現出來,從源頭上防止問題的發生。

                    國家對交易平臺的檢測有明確要求,即應符合《電子招標投標辦法》及《電子招標投標系統技術規范》的要求,并按照檢測認證管理辦法,進行檢測認證。

                    交易平臺的檢測認證有一星二星三星三個等級,有關檢測認證的內容、方法和流程在已經發布的檢測認證管理辦法里都有詳細規定。

                    注意檢測是針對交易平臺系統而言,認證是針對交易平臺運營機構而言。

                (八)數據信息傳送公共服務平臺接受認證后監督

                    實現電子招標投標的全流程,不僅包括交易平臺上的全流程,也包括跨越交易平臺、公共服務平臺和行政監督平臺的全流程。例如,招標公告不僅要在交易平臺上生成,也要到公共服務平臺指定媒體上公開,還要到行政監督平臺上備案接受在線監督,也就是說招標公告要跨越三大平臺實現全流程。

                    除了依法依規公開的數據傳送公共服務平臺履行公開,并通過公共服務平臺提供的監督通道(或者監督窗口)接受認證后在線監督外,在安全性上也有好處和必要。

                    電子招標投標交易過程中的信息,按法律法規約定的時間節點上不僅在工具軟件、交易平臺上生成和歸檔,同時也要在物理分離的獨立的公共服務平臺進行同步備案存檔,既達到了《電子招標投標辦法》里面要求的信息公開要求,也從根本上杜絕了交易信息被開發商或者內部技術人員篡改的第三方備份機制,為日后的監督和審計提供了可信、可靠的備查機制。

                 

                   本文最后需要強調的是,安全威脅總是實時變化的,任何系統的安全防護措施都不是一勞永逸的,需要平臺的運營主體加強安全管理和安全運維的意識,設置適合自己平臺的安全基線,定期進行安全檢測、安全加固,及時處理發現的問題,確保交易平臺的安全運行。

                 

                   作者:許程亮,中國招標公共服務平臺

                 

                   來源:《招標采購管理》

                 

                 

                 

                一集黄色片